DG-ADE-UPI-INS-2-2021 Instructivo para realizar la ...

Dirección General de Servicio Civilwww.dgsc.go.cr

DG-ADE-UPI-INS-2-2021Instructivo para realizar la Valoración de Riesgos Institucional SEVRI- DGSC

San José, Costa RicaAgosto, 2021

Instructivo para realizar la Valoración de Riesgos Institucional SEVRI- DGSC 2

Tabla de Contenido

Introducción ................................................................................................................................................................................3

Objetivo general ........................................................................................................................................................................3

Objetivos específicos ...............................................................................................................................................................3

Alcance ..........................................................................................................................................................................................3

Normativa ....................................................................................................................................................................................4

Matriz sistema específico de valoración de riesgos (sevri) .........................................................................................5

Etapas a considerar .............................................................................................................................................................5

I etapa identificación ....................................................................................................................................................5

II etapa de análisis de riesgos ....................................................................................................................................7

III etapa de evaluación de riesgos ............................................................................................................................9

Etapa IV y V: administración y seguimiento de riesgos ................................................................................. 10

Anexos ........................................................................................................................................................................................ 11


INTRODUCCIÓNEl propósito de este instructivo es orientar a los enlacesde planificación de las áreas, funcionarios de la Unidad de Planificación Institucional, Directores de Áreas y demás funcionarios de la Dirección General de Servicio Civil ( DGSC) involucrados en el proceso de Valoración de Riesgos Institucional SEVRI, con el fin de dar cumplimiento a la Ley N°8292 del 31 de julio del 2002, en la que se definen los criterios para la implantación de un Sistema Específico de Valoración de Riegos.

En este sentido, se particularizan las etapas de la Valoración de Riesgos, que deben ser aplicadas en esta Dirección General, mismas que se explican a continuación.

OBJETIVO GENERAL

Brindar orientación metodológica a las diferentes Áreasde la Dirección General de Servicio Civil, para realizar la Valoración de Riesgos Institucional, de manera clara y sencilla.

OBJETIVOS ESPECÍFICOS

a) Promover en las áreas de la Dirección General deServicio Civil una cultura de Valoración de Riesgos.

b) Orientar a los Directores de Área, enlaces de la institución y funcionarios de reciente ingreso a la Unidad de Planificación Institucional del Área de Desarrollo Estratégico, en el proceso del Sistema de Valoración de Riesgos de la Dirección General de Servicio Civil.

ALCANCE

Este instructivo está dirigido a los responsables de ejecutar la Valoración de Riesgos de la Dirección General de Servicio Civil, sean Directores de Área, Jefaturas de Unidades, funcionarios designados como enlaces y personal que labora en la Unidad de Planificación Institucional.

A partir de la emisión del presente documento se deja sin efecto el Instructivo para realizar la Autoevaluación de Control Interno y Valoración de Riesgos Institucional 2016-2017 y el Modelo para el funcionamiento, Autoevaluación y mejora del Sistema de Control Interno 2015.


NORMATIVAEl fundamento normativo se encuentra establecido en el Artículo 14 de la Ley General de Control Interno N°8292, que a la letra indica:

“Artículo 14.-Valoración del riesgo. En relación con la valoración del riesgo, serán deberes del jerarca y los titulares subordinados, entre otros, los siguientes:

a) Identificar y analizar los riesgos relevantes asociados al logro de los objetivos y las metas institucionales, definidos tanto en los planes anuales operativos como en los planes de mediano y de largo plazo.

b) Analizar el efecto posible de los riesgos identificados, su importancia y la probabilidad de que ocurran, y decidir las acciones que se tomarán para administrarlos.

c) Adoptar las medidas necesarias para el funcionamiento adecuado del sistema de valoración del riesgo y para ubicarse por lo menos en un nivel de riesgo organizacional aceptable.

d) Establecer los mecanismos operativos que minimicen el riesgo en las acciones por ejecutar.”

Por su parte, las Directrices Generales para el establecimiento y funcionamiento del Sistema Específico de Valoración del Riesgo Institucional (SEVRI) D-3-2005-CO-DFOE, detallan puntualmente los conceptos utilizados, los aspectos generales, funcionamiento y disposiciones finales en relación con el Sistema, de cuyo texto interesa puntualizar la conceptualización del SEVRI, a saber:

Sistema Específico de Valoración del Riesgo Institucional (SEVRI): “Conjunto organizado de elementos que interaccionan para la identificación, análisis, evaluación, administración, revisión, documentación y comunicación de los riesgos institucionales”


MATRIZ SISTEMA ESPECÍFICO DE VALORACIÓN DE RIESGOS (SEVRI)

A partir del ejercicio de Valoracion de Riesgos (2021) y siguientes, la Matriz de Riesgos debe ser aplicada por Área, de tal manera que se visualicen aquellos riesgos que podrían afectar la consecución de objetivos desde su ámbito de trabajo.

Los riesgos deberán ser analizados con el equipo de trabajo yse debe dejar evidencia de ello.

Etapas a considerar

I Etapa: Identificación de los riesgosII Etapa: Análisis de los riesgosIII Etapa: Evaluación de los riesgosIV Etapa: Administración de los riesgosV Etapa: Seguimiento de los riesgos

A continuación se detallan las variables contenidas en la matriz denominada Matriz de Valoración de Riesgos Institucional SEVRI:

La matriz tiene un encabezado con la siguiente información:• Nombre del Área: Nombre del área que realiza el ejercicio de Valoración del Riesgo.

• Fecha de elaboración: Señalar en formato día/mes/ año, la fecha en que se realiza la autoevaluación

I Etapa Identificación

En esta etapa se puede identificar la cantidad de riesgos que se considere pertinentes.

Se establece la clasificación de los riesgos, esto con el fin de agruparlos en riesgos internos y externos; además de identificar el tipo de riesgo, cuyo detalle se puede apreciar por medio de desplegables incorporados en la matriz. La clasificación del riesgo, se constituye de esta manera en el punto de partida para la aplicación del SEVRI.

Cabe destacar, que durante el proceso de aplicación, queda abierta la posibilidad de incluir nuevos factores asociados al tipo de riesgo identificado.


A continuación se detallan cada una de las variables contenidas en este apartado:

1. N° de RiesgoCorresponde a la identificación del riesgo el cual se debe llevar secuencialmente, el mismo permite contabilizar los riesgos analizados por área.

2. ProcesoSe refiere a un proceso específico del área o unidad, en donde se identifique que existe algún riesgo.

3. RiesgoEvento (¿Qué podría ocurrir?): En esta celda se define todo aquello que pueda materializarse y afectar el cumplimiento del proceso indicado anteriormente.

4. Clasificación de fuentes del riesgo

Se subdivide en Riesgos Internos y Riesgos Externos.

Riesgos internos:

El riesgo interno se refiere a los eventos en los que la Dirección General de Servicio Civil tiene un control directo e inmediato, pudiendo inclusive dar seguimiento y continuidad a las acciones establecidas para controlarlo.

RIESGOS INTERNOS

TIPO FACTORES

PROCESO -Procesos mal definidos-Falta de controles-Activos obsoletos-Canales de comunicación ineficaces-Fuga de Información

CAPITAL HUMANO -Falta de conocimientos, habilidades, técnicas y/o experiencia.-Motivación -Disposición al cambio

TECNOLOGÍA INFORMACIÓN -Fallas en los Sistemas-Disponibilidad-Acceso-Infraestructura-Mantenimiento-Licenciamiento-Seguridad en la Información

INTEGRIDAD -Actos Ilegales -Corrupción


RIESGOS EXTERNOS

TIPO FACTORES

POLITICOS -Acciones políticas adversas amenazan la Institución-Reformas a la Administración Pública-Cambio de Administración

ECONOMICOS -Presupuestario

SOCIALES -Demandas-Necesidades de los usuarios

AMBIENTALES -Contaminación (ambiental, sónica)-Desastres (sismos, huracanes, inundaciones, otras)

LEGALES -Disposiciones legales o normativas-Sentencias, Resoluciones, etc.

Riesgos externos:

El riesgo externo surge cuando hay condiciones ajenas a la DGSC que pueden afectar en forma importante el cumplimiento de los objetivos y servicios de la Institución.

5. Causa y consecuencias

Causa (¿Qué podría materializar el evento?):En esta variable corresponde anotar las causas que pueden llegar a concretar el riesgo.

Consecuencias (Impacto o derivaciones posibles del evento):En este espacio se indicaran aquellas consecuencias que pueden presentarse y materializar el riesgo, las mismas serán numeradas y separadas por comas.

II Etapa de Análisis de riesgos

El objetivo de esta etapa es calificar los riesgos identificados en la fase anterior para determinar el nivel asociado con cada riesgo. En esta fase, el nivel de riesgo obtenido se conoce como “Nivel de riesgo inherente”; es decir, es aquel nivel que NO toma en cuenta la aplicación de los controles al momento de valorar el parámetro de probabilidad de ocurrencia.


6. Probabilidad de Ocurrencia (PO)%

En esta variable se analiza cuál es la probabilidad de ocurrencia de que se concrete el riesgo, se puede elegir entre estas categorías:

7. Impacto

En lo que respecta al Impacto, se puede analizar considerando las siguientes posibilidades:

Cabe indicar que:

• La probabilidad de ocurrencia (PO) se asocia con las fuentes del riesgo que se identificaron.• El Impacto (I) se asocia con los efectos del riesgo que se identificó.

En este caso la matriz de Excel está configurada para que realice de forma automática el cálculo a partir de los datos ingresados.

8. Nivel de Riesgo Inherente (PO X I)

El nivel de riesgo inherente es propio del evento que se materialice sin tener controles. En este caso la matriz de Excel está configurada para que realice de forma automática el cálculo a partir de los datos ingresados.

Probabilidad de Ocurrencia (%)

Muy probable 90%

Bastante probable 70%

Probable 50%

Poco Probable 30%

Improbable 10%

Impacto

Muy Alto 5

Alto 4

Moderado 3

Bajo 2

Muy Bajo 1


Funcionalidad de los controles

Funciona 1

Funciona parcialmente 2

No funciona o no existe 3

Funcionalidad de los controles

10 a 349 Bajo (Aceptable)

350 a 694 Medio (Precauciones)

695 a 1039 Alto (Inaceptable)

Más de 1040 Muy alto (Inaceptable)

III Etapa de Evaluación de Riesgos

Esta fase abarca la valoración de la funcionalidad de los controles y la obtención del riesgo residual; el cual si toma en cuenta la aplicación de los controles.

9. Controles existentes

En la casilla 9 se deben describir los controles existentes.

10. Funcionalidad de los controles

En esta categoría corresponde calificar los controles institucionales, utilizando los siguientes parámetros:

En caso de no existir controles se consigna “No hay” o “No existe” y la calificación es un 3.

La matriz permite calcular de manera automatizada el “Promedio” de las calificaciones dadas a los controles de cada riesgo.

11. Nivel de incidenciaEs la categoría que califica los controles institucionales, referente a la calificación obtenida en la casilla 10) Funcionalidad, para ello se despliega un menú a seleccionar: Alto, Medio o bajo.

12. Valor de Riesgo ResidualLa matriz utilizada permitecalcular esta casilla de manera automática, multiplicando el valor del “Nivel de riesgo inherente” x el valor del “Promedio” de la funcionalidad de los controles

La Tabla de Parámetros del SEVRI contenida en la matriz, permite reflejar si el “Nivel del Riesgo Residual” es “Muy alto”,“Alto”, “Medio” o “Bajo”.


Riesgo nivel bajo: Se consideran aceptables si las consecuencias son mínimas y afectan levemente el cumplimiento de los objetivos.

Riesgo nivel medio: Son aceptables a medida que las consecuencias pueden afectar parcialmente el cumplimiento de los objetivos.

Riesgos alto y muy alto: Las consecuencias son graves y pueden ocasionar un cumplimiento muy deficiente de los objetivos o su incumplimiento total. Son considerados aceptables únicamente en circunstancias extraordinarias justificadas.

13) Tipo de Medida a Ejecutar

La clasificación de opciones para Administración del Riesgo es:

1. Asumir: El riesgo se aceptará, sin necesidad de valorar medidas adicionales a la simple retención de riesgos, manteniendo un monitoreo constante.

2. Reducir: Se establecerán acciones que disminuyan la posibilidad de que se materialice el riesgo.

3. Transferir: Se trasladarán a otras instancias a lo interno o externo de la institución, considerando competencias, capacidades, costos, entre, otros.

4. Evitar: Se establecerán acciones destinadas a impedir la materialización del riesgo y/o sus consecuencias.

14) Nueva medida propuesta por el área responsable.

Se debe indicar cual es la propuesta de medida que el área establece para la administración del riesgo.

Etapa IV y V: Administración y Seguimiento de Riesgos

Estas últimas etapas del SEVRI se deben indicar en el Plan de Trabajo, en el que se deben definir las estrategias con sus acciones para dar respuesta a los riesgos que se decidieron administrar e integrar las acciones que correspondan a los procesos operativos del Área responsable.

Para la Administración y seguimiento de riesgos, se retomará aquellos riesgos que se deben reducir, transferir o evitar, para ello se sugiere considerar el Instructivo para la elaboración del PTA disponible en la Intranet.


ANEXO Nº 1

Matriz en Excel: Sistema Específico de Valoración del Riesgo Institucional SEVRI 2021-2022.

DIRECCIÓN GENERAL DE SERVICIO CIVIL

www.dgsc.go.cr

San José, Costa Rica

DG-ADE-UPI-INS-2-2021 Instructivo para realizar la ...

Documents

Transcript of DG-ADE-UPI-INS-2-2021 Instructivo para realizar la ...